浅谈电力企业信息系统的安全防护措施

近年来,电网企业信息化建设持续发展,信息系统广泛应用于电网企业生产的各个方面,贯穿于日常业务的各个环节。因此,为保证电网运行的安全、稳定,企业对信息系统安全的需求也越来越迫切。文章对电网企业信息系统安全防护的思路和措施进行了研究与探讨,并结合电网企业信息系统现状提出了安全防护措施。     

企业网站安全及防护策略探讨

在讨论企业网站安全的各种风险的基础上,结合目前信息技术发展特点,对于企业网站防护策略进行分析,提出企业安全防护措施。另外,要想保证企业信息安全,以及企业网站正常运转,还应通过严格执行网站的安全管理。     

信息安全风险评估技术在电力系统的研究与应用

信息系统在电力安全生产中发挥着越来越重要的作用,信息安全风险评估工作通过对信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估,发现信息安全风险,并提出解决方案,以确保关键业务资产安全。本文介绍了信息安全风险评估在新疆电力公司实践经验,供广大电力员工参考和借鉴。     

对目前计算机网站的维护分析

随着互联网的兴起,计算机网站广泛应用于企业的形象推广和业务的介绍。同时,网站的安全也面临着严峻的考验,如何加强网站的安全建设和防护是企业信息安全的重要课题。本文根据笔者从业经验,重点谈了网站维护的内容和方法,并提出网站安全管理的措施。     

内外网数据安全交换技术在电网企业的应用研究

为保护企业机密,需要采用安全有效且成熟的技术来保障企业信息安全。以网闸等安全设备为基础的内外网数据安全交换平台,通过网络隔离、安全访问控制、协议剥离重组等技术,实现可控安全的数据交换,建立一套完善的内外网数据安全交换系统。本文参考电网企业安全防护标准、公安信息通信网边界接入平台安全规范及其他行业内外网安全防护设计思路,结合电网企业的应用需求,提出了多层次安全隔离防护,强管控数据交换的安全策略,并设计了符合电网企业应用需求的内外网数据安全交换平台、数据交换体系和安全管控方法,实现了电网企业内外网安全数据交换。同时结合试点、推广建设与实践,阐述了该体系在电网企业内外网实际环境中的应用效果。     

略谈企业计算机网络安全与防护体系的构建

随着计算机技术和网络技术的发展,企业对于计算机和网络的依赖程度逐渐加深,这对企业计算机网络安全提出了更高要求。本文对当前企业计算机网络安全问题进行了深入分析和探讨,从网络安全技术、防护体系构建的角度论述了构建企业计算机网络安全防护体系的相关策略,指出只有强化网络安全管理意识,采取有效措施构建并完善网络安全防护体系,才能维护企业的网络信息安全,推动企业的进步与发展。     

基于等级保护的智能电网信息安全防护模型研究

在分析电力信息系统安全等级保护建设情况的基础上,结合智能电网信息安全需求,提出一种基于等级保护的智能电网信息安全防护模型,从物理、终端、边界、网络、主机、应用和数据几方面描述针对智能电网特点的信息安全防护建议,以提升智能电网整体信息安全防御能力,对智能电网信息安全防护及建设具有一定的指导意义和作用。     

智能电网信息安全与网络结构优化研究

建设安全可靠电力数据信息安全通信网络环境,已成为电力系统实现区域智能电网数据信息实时共享,远程调度运行综合自动化系统建设的重要技术支撑.在对电网数据信息通信网络存在的结构混乱等安全威胁进行归纳分析后,结合三层四区电力数据信息安全防护体系结构,从电力专用信息安全隔离设备设置和防病毒系统构造方面,分别介绍了智能电网数据信息网络安全防护结构模型.     

上海市电子政务外网安全保障体系研究与设计

文章结合上海市政务外网应用特点及发展趋势,从信息安全等级保护的角度提出了上海市政务外网安全保障模型,并进行了针对性的安全措施的设计,实现对各接入子网、应用托管等方面的安全防护,能够适应未来上海市政务外网业务发展的安全保障需求。     

物联网信息安全模型综述

物联网是互联网的延伸,不仅传统的安全问题继续困扰物联网,而且新的、特有的安全问题也不断呈现,这些均对物联网安全模型提出了更高的要求。本文从安全防护对象以及方式对物联网信息安全模型进行分类,综述了当前比较流行的物联网信息安全模型,分析了现有安全模型优势与劣势,展望了物联网信息安全模型发展的趋势。     

面向跨企业多方协同应用的Web服务安全模型

现有的Web服务安全工具仅提供单个服务的安全策略配置功能,忽略了业务流程层面的安全需求。为此,提出一种面向跨企业多方协同应用的Web服务安全模型,将Web服务安全建模、部署与监控过程,融合到企业业务流程管理过程中。在此基础上构造基于Secure-WSCDL的建模工具、转换工具和监控工具,实现SOA架构下业务模型与安全建模在软件工程生命周期中的同步。通过简化的国际贸易进出口流程实例,验证了该模型与相应工具的有效性。     

一种面向业务的风险评估模型

当前主流的信息安全风险评估关注于资产损失,而忽视了时业务的影响.提出了一种面向业务的风险评估模型.该模型从业务安全需求出发,将机密性、完整性和可用性等安全属性引入风险评估过程中,通过评估对业务过程的影响来量化风险.将传统风险评估的资产要素视为业务的支撑,采用层次化方法依次分析资产风险、业务过程风险和业务风险.各风险要素采用面向属性归纳和聚类方法进行概化分析,并采用Markov模型描述业务过程的风险传导.最后以某网上银行交易系统风险进行模型验证.理论分析和实验结果表明,该模型能够将传统的资产风险转化为业务风险,从机密性、完整性和可用性3个安全属性进行度量,从而体现业务安全需求.     

iMeasure Security (iMS): A Framework for Quantitative Assessment of Security Measures and its Impacts

ABSTRACT

As business systems are getting interconnected, the importance of security is growing at an unprecedented pace. To protect information, strong security measures need to be implemented and continuously updated and monitored to ensure their promise against present and future security breaches. However, the growth of networked systems and the increasing availability of sophisticated hacking tools make the task of securing business systems challenging. To enhance the security strength and to justify any investment in security-related products, it becomes mandatory to assess the security measures in place and estimate the level of security provided by them. The existing standards to certify the strength of a security system are qualitative, lack consideration of the countermeasures and do not consider the impact of security breaches. Consequently, there is a need for an alternative approach to estimate the security strength of a system in a quantitative manner. This paper aims to provide an extensible framework called iMeasure Security (iMS) that quantifies the security strength of an enterprise system by considering the countermeasures deployed in its network, analyzes the business impact of the security breaches, and provides insights as to how the level of security can be improved from current levels.     

An Information Security Governance Framework

Information security culture develops in an organization due to certain actions taken by the organization. Management implements information security components, such as policies and technical security measures with which employees interact and that they include in their working procedures. Employees develop certain perceptions and exhibit behavior, such as the reporting of security incidents or sharing of passwords, which could either contribute or be a threat to the securing of information assets. To inculcate an acceptable level of information security culture, the organization must govern information security effectively by implementing all the required information security components. This article evaluates four approaches towards information security governance frameworks in order to arrive at a complete list of information security components. The information security components are used to compile a new comprehensive Information Security Governance framework. The proposed governance framework can be used by organizations to ensure they are governing information security from a holistic perspective, thereby minimising risk and cultivating an acceptable level of information security culture.     

一种基于电子商务的全面防御安全模型研究

电子商务的涌现标志着商贸活动正从传统方式向电子信息化方向变革。电子商务带给人们便捷、高效和低成本的同时,却面临着比其他网络应用更为严重的安全威胁和挑战。只有解决其安全性问题,电子商务才能继续健康发展。分析了电子商务所面临的安全问题,提出了"全面防御"理念,并建立了相应的安全模型。该模型的反聩机制能根据应用中发现的问题不断完善,从而帮助该模型自适应地提高电子商务的安全性。该模型符合"不仅要从技术层面采取相关的措施,更重要的是从社会、人员及应用环境等层面着手"的思想。     

面向软件攻击面的Web应用安全评估模型研究

Web应用已成为互联网和企事业单位信息管理的主要模式。随着Web应用的普及,攻击者越来越多地利用它的漏洞实现恶意攻击,Web应用的安全评估已成为信息安全研究的热点。结合Web应用的业务逻辑,提出了其相关资源软件攻击面的形式化描述方法,构造了基于软件攻击面的攻击图模型,在此基础上,实现对Web应用的安全评估。本文构造的安全评估模型,在现有的通用漏洞检测模型基础上,引入业务逻辑安全性关联分析,解决了现有检测模型业务逻辑安全检测不足的缺陷,实现了Web应用快速、全面的安全评估。     

An Information Security Governance Framework

ABSTRACT

Information security culture develops in an organization due to certain actions taken by the organization. Management implements information security components, such as policies and technical security measures with which employees interact and that they include in their working procedures. Employees develop certain perceptions and exhibit behavior, such as the reporting of security incidents or sharing of passwords, which could either contribute or be a threat to the securing of information assets. To inculcate an acceptable level of information security culture, the organization must govern information security effectively by implementing all the required information security components. This article evaluates four approaches towards information security governance frameworks in order to arrive at a complete list of information security components. The information security components are used to compile a new comprehensive Information Security Governance framework. The proposed governance framework can be used by organizations to ensure they are governing information security from a holistic perspective, thereby minimising risk and cultivating an acceptable level of information security culture.     

Information Security Awareness Status of Business College: Undergraduate Students

Abstract

Because end users are often the weakest link in a security chain, students need to practice security controls properly to improve information security on campus. This study surveyed undergraduate students in a business college to investigate their understanding and attitudes toward information security. Survey findings show that college students understand most information security topics suggested by National Institute of Standards and Technology (NIST) Special Report 800-50. Universities should provide easily accessible security training programs for students. Practical suggestions are provided to encourage students to participate in security training to enhance their security awareness level.     

车载信息系统的安全测评体系及方法

汽车信息系统的安全工作主要集中在分析、挖掘车载信息系统及其功能组件现存的安全漏洞及可行攻击方式的实验验证,缺乏全面、系统的车载信息系统安全测评体系及评估方法。论文在分析车载信息系统安全现状的基础之上,提出将车载信息系统的安全等级划分为：家用车载信息系统和商用车载信息系统,定义了两个等级车载信息系统的保护能力,并借鉴通用信息系统的安全等级保护要求,提出车载信息系统不同保护等级的基本安全要求,首次建立车载信息系统的安全等级测评体系。进一步建立层次化安全评估模型及算法,实现车载信息系统的定量安全评估。通过奥迪C6的安全测评案例证明,提出的等级测评体系及评估方法是可行、合理的,为分析车辆信息系统的安全状况提供支撑,填补了国内车载信息系统安全测评体系及评估方法的空白。